DivisionCero
Políticas, Procesos y Procedimientos

Diligencia Debida a Proveedores Críticos

Evaluación de riesgos de proveedores con acceso a información sensible.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Diligencia Debida a Proveedores Críticos
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Equipo de Compras, CISO, Equipo Legal, Gerentes Senior, Auditores Internos

🎯 Propósito

Establecer un marco comprehensivo de diligencia debida para proveedores críticos que manejan información sensible, sistemas esenciales o servicios fundamentales para DivisionCero, garantizando una evaluación exhaustiva de riesgos de seguridad, capacidades operativas, estabilidad financiera y cumplimiento regulatorio antes y durante la relación comercial.

🏢 Alcance

Esta política aplica específicamente a:

  • Proveedores de servicios de nube críticos (IaaS, PaaS, SaaS)
  • Consultores con acceso privilegiado a sistemas de producción
  • Partners tecnológicos con acceso a secretos comerciales
  • Proveedores de servicios de continuidad del negocio
  • Organizaciones que procesan datos personales o financieros sensibles
  • Proveedores únicos sin alternativas viables en el mercado

📚 Definiciones

  • Proveedor Crítico: Tercero cuyo fallo o compromiso causaría impacto significativo en operaciones, seguridad o reputación
  • Diligencia Debida: Investigación sistemática y comprensiva de todos los aspectos de riesgo de un proveedor
  • Supply Chain Risk: Riesgo inherente en la cadena de suministro del proveedor y sus subcontratistas
  • Single Point of Failure: Proveedor sin alternativas inmediatas disponibles en caso de fallo
  • Right to Audit: Derecho contractual de auditar controles y procesos del proveedor

🛡️ Proceso de Diligencia Debida

Identificación de Proveedores Críticos

Criterios de Criticidad

Impacto Operativo:

  • Servicios esenciales para continuidad del negocio
  • Sin alternativas viables o tiempo de reemplazo superior a 30 días
  • Integración profunda con sistemas críticos de DivisionCero
  • Dependencia de más del 25% de operaciones de la organización

Acceso a Información Sensible:

  • Datos de clientes, empleados o financieros
  • Propiedad intelectual o secretos comerciales
  • Información regulada (PCI DSS, GDPR, HIPAA, etc.)
  • Configuraciones de seguridad y arquitectura interna

Riesgo Reputacional:

  • Servicios visibles para clientes externos
  • Marcas co-branded o representación de DivisionCero
  • Proveedores con historial de incidentes públicos
  • Organizaciones con exposición mediática significativa

Evaluación Precontractual Exhaustiva

Due Diligence Financiera

Análisis de Estabilidad:

  • Estados financieros auditados de los últimos 3 años
  • Evaluación de flujo de caja y liquidez operativa
  • Análisis de deuda y estructura de capital
  • Verificación de seguros de responsabilidad profesional

Evaluación de Continuidad:

  • Plan de continuidad del negocio documentado y probado
  • Análisis de dependencias críticas del proveedor
  • Evaluación de capacidad de recuperación ante desastres
  • Verificación de respaldo financiero para contingencias

Cumplimiento Normativo:

  • Verificación de licencias y permisos operativos
  • Evaluación de cumplimiento con regulaciones aplicables
  • Revisión de historial de sanciones o infracciones
  • Validación de certificaciones profesionales relevantes

Aspectos Legales:

  • Estructura corporativa y ownership
  • Litigios pendientes o historial legal
  • Políticas de protección de datos y privacidad
  • Acuerdos de confidencialidad y no divulgación

Due Diligence Operativa y Técnica

Capacidades Técnicas:

  • Arquitectura de seguridad y controles implementados
  • Capacidades de monitoreo y detección de amenazas
  • Procesos de gestión de vulnerabilidades y parches
  • Redundancia y capacidades de alta disponibilidad

Recursos Humanos:

  • Verificación de antecedentes del personal clave
  • Programas de capacitación en seguridad
  • Rotación de personal y retención de talento crítico
  • Políticas de acceso y segregación de funciones

Evaluación de la Cadena de Suministro

Mapeo de Subcontratistas

  • Identificación completa de subcontratistas críticos
  • Evaluación de riesgos de la cadena de suministro extendida
  • Verificación de controles de seguridad en subcontratistas
  • Análisis de concentración geográfica y riesgos geopolíticos

Gestión de Dependencias

  • Documentación de todas las dependencias críticas
  • Evaluación de riesgos de cascada en la cadena
  • Planes de contingencia para fallos de subcontratistas
  • Monitoreo continuo de la salud de la cadena de suministro

Evaluación In-Situ

Auditorías Físicas

  • Inspección de instalaciones y controles físicos
  • Verificación de medidas de seguridad ambiental
  • Evaluación de controles de acceso y perímetro
  • Revisión de capacidades de recuperación ante desastres

Entrevistas con Personal Clave

  • Reuniones con ejecutivos y personal de seguridad
  • Evaluación de cultura organizacional y de seguridad
  • Verificación de competencias técnicas del equipo
  • Discusión de planes estratégicos y roadmap tecnológico

Scoring y Calificación de Riesgo

Modelo de Calificación Cuantitativa

Componentes de Scoring (0-100 puntos cada uno):

  • Seguridad de la Información (25%)
  • Estabilidad Financiera (20%)
  • Capacidades Operativas (20%)
  • Cumplimiento Regulatorio (15%)
  • Gestión de Riesgos (10%)
  • Reputación y Referencias (10%)

Niveles de Aprobación:

  • 85-100: Aprobación automática
  • 70-84: Aprobación con condiciones específicas
  • 55-69: Aprobación con monitoreo intensivo
  • Menos de 55: Rechazo o requiere mejoras significativas

Matriz de Riesgo vs. Impacto

  • Alto Impacto/Bajo Riesgo: Aprobación con monitoreo estándar
  • Alto Impacto/Alto Riesgo: Requiere medidas de mitigación específicas
  • Bajo Impacto/Alto Riesgo: Considerar alternativas
  • Bajo Impacto/Bajo Riesgo: Proceso de aprobación simplificado

Monitoreo Post-Contratación

Monitoreo Continuo

Indicadores Tempranos de Alerta:

  • Cambios en estructura de ownership o liderazgo ejecutivo
  • Degradación en calificaciones crediticias o financieras
  • Incidentes de seguridad o violaciones de datos
  • Cambios significativos en arquitectura o procesos

Reviews Programadas:

  • Revisión trimestral de métricas operativas y de seguridad
  • Evaluación semestral de estabilidad financiera
  • Re-evaluación anual completa de due diligence
  • Auditorías in-situ cada 2 años o según contracto

Gestión de Excepciones

  • Proceso formal para aprobar desviaciones a políticas
  • Justificación documentada y aprobación por comité ejecutivo
  • Planes de mitigación específicos para riesgos identificados
  • Monitoreo intensificado para excepciones aprobadas

👥 Roles y Responsabilidades

  • Chief Procurement Officer: Liderar el proceso de due diligence y toma de decisiones
  • CISO: Evaluar aspectos de seguridad y aprobar proveedores de alto riesgo
  • CFO: Evaluar estabilidad financiera y implicaciones económicas
  • General Counsel: Asegurar cumplimiento legal y contractual
  • Equipo de Due Diligence: Ejecutar investigaciones detalladas y análisis
  • Gerentes de Negocio: Proporcionar contexto operativo y requisitos específicos

📊 Cumplimiento y Medición

Métricas de Proceso

  • Tiempo promedio de due diligence: máximo 45 días hábiles
  • 100% de proveedores críticos con due diligence completa
  • 90% de accuracy en predicción de riesgos de proveedores
  • Reducción del 95% en incidentes por proveedores no evaluados

Indicadores de Calidad

  • Porcentaje de proveedores que pasan re-evaluaciones anuales
  • Número de proveedores descalificados post-contratación
  • Tiempo promedio de detección de cambios materiales en proveedores
  • Efectividad de medidas de mitigación implementadas

Auditorías y Validación

  • Revisión mensual de nuevas evaluaciones de due diligence
  • Auditoría semestral de efectividad del proceso
  • Validación anual de modelo de scoring y criterios
  • Benchmarking periódico contra mejores prácticas de la industria

🚨 Escalamiento y Respuesta a Riesgos

Señales de Alerta Críticas

  • Pérdida de certificaciones de seguridad críticas
  • Cambios no notificados en ownership o control corporativo
  • Incidentes de seguridad que afecten datos de DivisionCero
  • Deterioro significativo en condiciones financieras

Procedimientos de Respuesta

  • Activación de equipo de crisis dentro de 4 horas
  • Evaluación inmediata de impacto y opciones de mitigación
  • Comunicación con stakeholders internos y externos
  • Implementación de planes de contingencia según severidad

Plan de Salida

  • Identificación proactiva de proveedores alternativos
  • Mantenimiento de capacidades de transición rápida
  • Acuerdos de escrow para código fuente crítico
  • Procesos documentados de recuperación de datos y activos

📖 Referencias

  • ISO 27001:2022 - Control A.15.1 Information security policy for supplier relationships
  • NIST SP 800-161 Rev. 1 - Cyber Supply Chain Risk Management
  • ISO 20243:2018 - Information technology — Open trusted technology provider
  • Política de Evaluación y Monitoreo de Terceros
  • Cláusulas de Seguridad en Contratos
  • Plan de Continuidad de Negocio

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Declaración de Aplicabilidad (SoA)

Declaración de aplicabilidad de controles.

Escaneo Continuo de Vulnerabilidades

Supervisión continua para detectar debilidades en los sistemas.